Activer VM Threat Detection pour AWS

Cette page explique comment configurer et utiliser la détection des menaces sur les machines virtuelles pour rechercher les logiciels malveillants dans les disques persistants des VM Amazon Elastic Compute Cloud (EC2).

Pour activer VM Threat Detection pour AWS, vous devez créer un rôle AWS IAM sur la plate-forme AWS, activer VM Threat Detection pour AWS dans Security Command Center, puis déployer un modèle CloudFormation sur AWS.

Avant de commencer

Pour activer VM Threat Detection avec AWS, vous avez besoin de certaines autorisations IAM et Security Command Center doit être connecté à AWS.

Rôles et autorisations

Pour terminer la configuration de la détection des menaces pour les VM pour AWS, vous devez disposer de rôles avec les autorisations nécessaires dansGoogle Cloud et AWS.

RôlesGoogle Cloud

Assurez-vous de disposer du ou des rôles suivants dans l'organisation : Éditeur de l'administrateur du centre de sécurité (roles/securitycenter.adminEditor)

Vérifier les rôles

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.

  3. Dans la colonne Compte principal, recherchez toutes les lignes qui vous identifient ou identifient un groupe dont vous faites partie. Pour savoir à quels groupes vous appartenez, contactez votre administrateur.

  4. Pour toutes les lignes qui vous spécifient ou vous incluent, consultez la colonne Rôle pour vous assurer que la liste inclut les rôles requis.

Attribuer les rôles

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur  Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Cliquez sur Sélectionner un rôle, puis recherchez le rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur  Ajouter un autre rôle et ajoutez tous les rôles supplémentaires.
  7. Cliquez sur Enregistrer.

Rôles AWS

Dans Amazon Web Services (AWS), un utilisateur administratif AWS doit créer le compte AWS dont vous avez besoin pour activer les analyses. Vous attribuerez ce rôle ultérieurement lorsque vous installerez le modèle CloudFormation sur AWS.

  • Pour créer un rôle pour VM Threat Detection dans AWS, suivez les étapes décrites dans Créer un rôle pour un service AWS (console).

    Veuillez noter les points suivants :

    • Pour service ou cas d'utilisation, sélectionnez lambda.
    • Ajoutez les règles d'autorisation suivantes :
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    • Enregistrez la règle, puis rouvrez-la. Cliquez sur Ajouter une autorisation > Créer une règle intégrée.
    • Créez une stratégie d'autorisation pour le rôle AWS :
      1. Suivez les instructions pour modifier et copier la règle d'autorisation : Règle de rôle pour l'évaluation des failles pour AWS et la détection des menaces sur les VM.
      2. Saisissez la stratégie dans l'éditeur JSON d'AWS.

    • Pour les relations d'approbation, ajoutez l'entrée JSON suivante à n'importe quel tableau d'instructions existant :

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Confirmer que Security Command Center est connecté à AWS

La détection des menaces sur les VM nécessite d'accéder à l'inventaire des ressources AWS que inventaire des éléments cloud gère lorsque vous créez un connecteur AWS.

Si aucune connexion n'est déjà établie, vous devez en configurer une lorsque vous activez la détection des menaces pour les VM pour AWS.

Pour configurer une connexion, créez un connecteur AWS.

Activer VM Threat Detection pour AWS dans Security Command Center

VM Threat Detection pour AWS doit être activé sur Google Cloud au niveau de l'organisation.

Console

  1. Dans la console Google Cloud , accédez à la page Activation du service VM Threat Detection.

    Accéder à "Activation des services"

  2. Sélectionner votre organisation.

  3. Cliquez sur l'onglet Amazon Web Services.

  4. Dans la section Activation du service, dans le champ État, sélectionnez Activer.

  5. Dans la section Connecteur AWS, vérifiez que l'état indique Connecteur AWS ajouté.

    Si l'état indique Aucun connecteur AWS ajouté, cliquez sur Ajouter un connecteur AWS. Avant de passer à l'étape suivante, suivez les instructions de la section Se connecter à AWS pour collecter des données de configuration et de ressources.

gcloud

La commande gcloud scc manage services update met à jour l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID : identifiant numérique de l'organisation
  • NEW_STATE : ENABLED pour activer VM Threat Detection pour AWS ; DISABLED pour désactiver VM Threat Detection pour AWS

Exécutez la commande gcloud scc manage services update :

Linux, macOS ou Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

Vous devriez obtenir un résultat semblable à celui-ci :

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

La méthode organizations.locations.securityCenterServices.patch de l'API Security Command Center Management met à jour l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas.
  • ORGANIZATION_ID : identifiant numérique de l'organisation
  • NEW_STATE : ENABLED pour activer VM Threat Detection pour AWS ; DISABLED pour désactiver VM Threat Detection pour AWS

Méthode HTTP et URL : 

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

Corps JSON de la requête :

{
  "intendedEnablementState": "NEW_STATE"
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Si vous avez déjà activé le service d'évaluation des failles pour AWS et déployé le modèle CloudFormation dans le cadre de cette fonctionnalité, vous avez terminé de configurer VM Threat Detection pour AWS.

Sinon, attendez six heures, puis effectuez la tâche suivante : téléchargez le modèle CloudFormation.

Télécharger le modèle CloudFormation

Effectuez cette tâche au moins six heures après avoir activé VM Threat Detection pour AWS.

  1. Dans la console Google Cloud , accédez à la page Activation du service VM Threat Detection.

    Accéder à "Activation des services"

  2. Sélectionner votre organisation.

  3. Cliquez sur l'onglet Amazon Web Services.

  4. Dans la section Déployer le modèle CloudFormation, cliquez sur Télécharger le modèle CloudFormation. Un modèle JSON est téléchargé sur votre poste de travail. Vous devez déployer le modèle dans chaque compte AWS que vous devez analyser.

Déployer le modèle AWS CloudFormation

Déployez le modèle CloudFormation au moins six heures après avoir créé un connecteur AWS.

Pour en savoir plus sur le déploiement d'un modèle CloudFormation, consultez Créer une pile à partir de la console CloudFormation dans la documentation AWS.

Gardez les points suivants à l'esprit : * Une fois le modèle CloudFormation importé, saisissez un nom de pile unique. Ne modifiez aucun autre paramètre du modèle. * Pour Autorisations dans les options de la pile, sélectionnez le rôle AWS que vous avez créé précédemment. * Une fois le modèle CloudFormation déployé, la pile met quelques minutes à s'exécuter.

L'état du déploiement s'affiche dans la console AWS. Si le modèle CloudFormation ne parvient pas à se déployer, consultez la section Dépannage.

Une fois les analyses lancées, si des menaces sont détectées, les résultats correspondants sont générés et affichés sur la page Résultats de Security Command Center dans la console Google Cloud . Pour en savoir plus, consultez Examiner les résultats dans la consoleGoogle Cloud .

Gérer les modules

Cette section explique comment activer ou désactiver des modules et afficher leurs paramètres.

Activer ou désactiver un module

Une fois que vous avez activé ou désactivé un module, un délai d'une heure peut être nécessaire pour que vos modifications soient appliquées.

Pour en savoir plus sur tous les résultats de menace VM Threat Detection et les modules qui les génèrent, consultez Résultats de menace.

Console

Si Virtual Machine Threat Detection pour AWS est activé, vous pouvez définir l'état d'activation de ses modules individuels au niveau de l'organisation.

  1. Dans la console Google Cloud , accédez à la page Modules.

    Accéder aux modules

  2. Sélectionner votre organisation.

  3. Dans l'onglet Modules, accédez à la colonne État, sélectionnez l'état actuel du module que vous souhaitez activer ou désactiver, puis choisissez l'une des options suivantes :

    • Activer : permet d'activer le module.
    • Désactiver : permet de désactiver le module.

gcloud

La commande gcloud scc manage services update met à jour l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de ressource à mettre à jour (organization, folder ou project).
  • RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
  • MODULE_NAME : nom du module à activer ou à désactiver. Pour connaître les valeurs valides, consultez la section Résultats de menace compatibles avec AWS.
  • NEW_STATE : ENABLED pour activer le module, DISABLED pour le désactiver ou INHERITED pour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers).

Enregistrez le code suivant dans un fichier nommé request.json : 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Exécutez la commande gcloud scc manage services update :

Linux, macOS ou Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

Vous devriez obtenir un résultat semblable à celui-ci :

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

La méthode RESOURCE_TYPE.locations.securityCenterServices.patch de l'API Security Command Center Management met à jour l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de ressource à mettre à jour (organizations, folders ou projects).
  • QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas.
  • RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
  • MODULE_NAME : nom du module à activer ou à désactiver. Pour connaître les valeurs valides, consultez la section Résultats de menace compatibles avec AWS.
  • NEW_STATE : ENABLED pour activer le module, DISABLED pour le désactiver ou INHERITED pour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers).

Méthode HTTP et URL : 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

Corps JSON de la requête :

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Afficher les paramètres des modules VM Threat Detection pour AWS

Pour en savoir plus sur tous les résultats de menaces VM Threat Detection et les modules qui les génèrent, consultez Résultats de menaces.

Console

La console Google Cloud vous permet d'afficher les paramètres des modules VM Threat Detection au niveau de l'organisation.

  1. Dans la console Google Cloud , accédez à la page Modules.

    Accéder aux modules

  2. Sélectionner votre organisation.

gcloud

La commande gcloud scc manage services describe permet d'obtenir l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de ressource à obtenir (organization, folder ou project)
  • RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.

Exécutez la commande gcloud scc manage services describe  :

Linux, macOS ou Cloud Shell

gcloud scc manage services describe vm-threat-detection-aws \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe vm-threat-detection-aws `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe vm-threat-detection-aws ^
    --RESOURCE_TYPE=RESOURCE_ID

Vous devriez obtenir un résultat semblable à celui-ci :

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

La méthode RESOURCE_TYPE.locations.securityCenterServices.get de l'API Security Command Center Management permet d'obtenir l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de ressource à obtenir (organizations, folders ou projects).
  • QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas.
  • RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.

Méthode HTTP et URL : 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection-aws

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

Dépannage

Si vous avez activé le service VM Threat Detection, mais que les analyses ne s'exécutent pas, vérifiez les points suivants :

  • Vérifiez que le connecteur AWS est correctement configuré.
  • Vérifiez que la pile du modèle CloudFormation a été déployée complètement. Son état dans le compte AWS doit être CREATION_COMPLETE.

Étapes suivantes